Zasady zarządzania ryzykiem w Urzędzie Miejskim w Głogowie oraz
Transkrypt
Zasady zarządzania ryzykiem w Urzędzie Miejskim w Głogowie oraz
Załącznik do Zarządzenia Nr…. Starosty Zgierskiego z dnia …………. w sprawie zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i jednostkach organizacyjnych Powiatu Zgierskiego Zasady zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu oraz pozostałych jednostkach organizacyjnych Powiatu Zgierskiego Rozdział I Postanowienia ogólne §1 1. Ustala się zasady zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu oraz pozostałych jednostkach organizacyjnych Powiatu Zgierskiego. 2. Wprowadza się obowiązek oceny ryzyka i zarządzania ryzykiem we wszystkich jednostkach organizacyjnych Powiatu Zgierskiego oraz we wszystkich komórkach organizacyjnych Starostwa Powiatowego w Zgierzu. §2 1. Wdrożenie systemu zarządzania ryzykiem ma zapewnić: 1) wsparcie dla realizacji celów Powiatu Zgierskiego poprzez identyfikację ryzyk mogących wpłynąć negatywnie na realizację celów i odpowiednią reakcję na zidentyfikowane ryzyka oraz identyfikację możliwości rozwoju i poprawy uzyskiwanych wyników, 2) położenie większego nacisku Kierownictwa na sprawy faktycznie istotne, 3) skrócenie czasu reakcji Kierownictwa na sprawy kryzysowe, 4) szybsze i skuteczniejsze reagowanie na zagrożenia, 5) ograniczenie ilości negatywnych zdarzeń mających wpływ na organizację, 6) skoncentrowanie działań na poprawne wykonywanie właściwych zadań, 7) zwiększenie prawdopodobieństwa wdrożenia planowanych zmian, 8) racjonalniejsze wykorzystanie zasobów, 9) świadome podejmowanie ryzyka i decyzji, 10) zwiększenie zaufania społeczeństwa do działania Starostwa i pozostałych jednostek organizacyjnych Powiatu. §3 1. Zasady zarządzania ryzykiem określają: 1) odpowiedzialność za zarządzanie ryzykiem, 2) sposób identyfikowania ryzyka, 3) sposób przeprowadzania analizy ryzyka, 4) sposób reagowania na zidentyfikowane ryzyko, 5) sposób oceny procesu zarządzania ryzykiem, 6) zasady dokonywania przeglądu i raportowania wyników analizy ryzyka. §4 1. Ilekroć w zasadach jest mowa o: 1) Powiecie – należy przez to rozumieć Powiat Zgierski, 2) Starostwie – należy przez to rozumieć Starostwo Powiatowe w Zgierzu. 3) Staroście – należy przez to rozumieć Starostę Powiatu Zgierskiego 4) Koordynatorze – należy przez to rozumieć Koordynatora kontroli zarządczej, 1 Załącznik do Zarządzenia Nr…. Starosty Zgierskiego z dnia …………. w sprawie zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i jednostkach organizacyjnych Powiatu Zgierskiego 5) Kierowniku komórki organizacyjnej – należy przez to rozumieć Naczelników Wydziałów, Samodzielne Stanowiska, Koordynatorów Biur i Zespołów, 6) Kierowniku jednostki organizacyjnej – należy przez to rozumieć Dyrektorów jednostek organizacyjnych Powiatu Zgierskiego, 7) Audytorze wewnętrznym – należy przez to rozumieć koordynatora Biura Audytu wewnętrznego i Kontroli, zatrudnionego w Starostwie Powiatowym w Zgierzu, 8) Biurze Audytu wewnętrznego i Kontroli – należy przez to rozumieć komórkę organizacyjną Starostwa Powiatowego w Zgierzu, wypełniająca zadania z zakresu audytu wewnętrznego i kontroli instytucjonalnej, w stosunku do jednostek organizacyjnych Powiatu Zgierskiego, 9) Pracownikach – należy przez to rozumieć odpowiednio pracowników komórek organizacyjnych Starostwa i jednostek organizacyjnych Powiatu, 10) ryzyku – należy przez to rozumieć zdarzenie zagrażające realizacji zadań i osiąganiu celów jednostki/komórki organizacyjnej. 11) czynnikach ryzyka – należy przez to rozumieć zdarzenia, działania, zaniechania działania i inne okoliczności sprzyjające wystąpieniu ryzyka, 12) zarządzaniu ryzykiem – należy przez to rozumieć wykonywanie czynności w oparciu o przyjętą metodologię, dzięki której Kierownicy jednostek, komórek organizacyjnych określają, analizują i kontrolują ryzyko działalności, Rozdział II Odpowiedzialność za zarządzanie ryzykiem §5 1. Odpowiedzialność za prawidłowe wdrożenie systemu zarządzania ryzykiem w Starostwie ponosi Starosta. 2. Odpowiedzialność za prawidłowe wdrożenie systemu zarządzania ryzykiem w pozostałych jednostkach organizacyjnych Powiatu ponosi Kierownik jednostki organizacyjnej. 3. Koordynator kontroli zarządczej: 1) sprawuje nadzór nad procesem zarządzania ryzykiem w ramach systemu kontroli zarządczej I i II poziomu, 2) inicjuje działania niezbędne do prawidłowej organizacji systemu zarządzania ryzykiem i prawidłowego funkcjonowania procesu zarządzania ryzykiem na I i II poziomie systemu kontroli zarządczej, 3) weryfikuje zadania, cele, mierniki i ryzyka określone przez Kierowników jednostek organizacyjnych i komórek organizacyjnych. 4. Koordynator kontroli zarządczej przedkłada Staroście zweryfikowaną listę zadań, celów, mierników i ryzyk do zatwierdzenia, jak również bierze udział w procesie identyfikacji, analizy i oceny ryzyka dla Powiatu. 5. Kierownicy komórek odpowiedzialni za: organizacyjnych i jednostek organizacyjnych są 2 Załącznik do Zarządzenia Nr…. Starosty Zgierskiego z dnia …………. w sprawie zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i jednostkach organizacyjnych Powiatu Zgierskiego 1) utworzenie listy zadań, celów w zarządzanej komórce oraz udokumentowanie listy zadań, celów zgodnie ze wzorem zamieszczonym w załączniku Nr 1 Część A, 2) dokumentowanie procesu identyfikacji i oceny ryzyka w komórce organizacyjnej oraz przeprowadzenie analizy zidentyfikowanego ryzyka zgodnie ze wzorem stanowiącym załącznik Nr 1 Część A 3) dokumentowanie procesu realizacji celów i zadań, zgodnie z załącznikiem Nr 1 cześć B 4) przekazanie wypełnionego załącznika Nr 1 część A i B do Biura Audytu wewnętrznego i Kontroli, 5) opracowywanie i inicjowanie wdrażania mechanizmów kontrolnych w jednostkach/komórkach organizacyjnych, 6) określanie istotności ryzyka i wdrażanie odpowiednich mechanizmów kontrolnych zgodnie z załącznikiem Nr 8, 7) zapewnienie, aby pracownicy byli świadomi wagi procesu zarządzania ryzykiem w danej komórce, jednostce organizacyjnej Powiatu, 8) zapewnienie wszystkim podległym pracownikom możliwości formalnego zgłaszania zmian w zakresie identyfikowanego przez nich ryzyka lub innych istotnych problemów, 9) dokonywanie corocznych przeglądów systemu zarządzania ryzykiem w ramach samooceny systemu kontroli zarządczej. 6. Biuro Audytu wewnętrznego i Kontroli jest odpowiedzialne za: a. gromadzenie list zadań/celów, b. gromadzenie arkuszy ryzyka, c. przygotowanie zbiorczego zestawienia zadań i celów Powiatu wraz z wykazem wszystkich ryzyk dla wszystkich zidentyfikowanych zadań i celów Powiatu – zgodnie z załącznikiem Nr 2. d. dokonanie własnej oceny ryzyka wskazanych zadań wraz z jej udokumentowaniem w formie wykazu ryzyk zgodnie ze wzorem zamieszczonym w załączniku Nr 3, e. przeprowadzenie analizy ryzyka wszystkich obszarów zgodnie z załącznikiem Nr 4 z uwzględnieniem następujących wag: i. 20% - dla ocen dokonanych przez Kierowników jednostek/komórek organizacyjnych, ii. 30% - dla ocen dokonanych przez Koordynatora kontroli zarządczej, iii. 50% - dla ocen dokonanych przez audytora wewnętrznego, f. przygotowanie listy najistotniejszych obszarów ryzyka zaproponowanych do przeprowadzenia zadań zapewniających i przekazanie do oceny Starosty zgodnie ze wzorem zamieszczonym w załączniku Nr 5, g. opracowanie rocznego planu audytu opartego na analizie ryzyka, h. rozpatrywanie i ocenę znaczących zagrożeń ryzykiem, i. formułowanie zaleceń mających na celu usprawnienie systemów zarządzania ryzykiem. 7. Starosta jest odpowiedzialny za: 1) zatwierdzenie zadań i celów na dany rok kalendarzowy - zgodnie z załącznikiem Nr 2. 3 Załącznik do Zarządzenia Nr…. Starosty Zgierskiego z dnia …………. w sprawie zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i jednostkach organizacyjnych Powiatu Zgierskiego 2) nadanie priorytetów wyznaczonych przez Audytora wewnętrznego obszarów ryzyka do przeprowadzenia zadań zapewniających zgodnie z załącznikiem Nr 5, wg załącznika Nr 9. 8. Pracownicy są odpowiedzialni za: zgłaszanie przełożonym informacji o pojawiających się ryzykach lub innych istotnych problemach. 9. Identyfikacja ryzyka dokonywana jest przez kierowników komórek/jednostek organizacyjnych i polega na ustaleniu oraz scharakteryzowaniu zdarzeń zagrażających poszczególnym celom i zadaniom, zgodnie z przykładowym katalogiem ryzyk, zamieszczonym w załączniku Nr 11. 10. Ocena ryzyka polega na: a) określeniu poziomu prawdopodobieństwa wystąpienia ryzyka i poziomu wpływu (skutku), według zasad określonych w załącznikach Nr 6 i 7, b) określenie poziomu istotności ryzyka poprzez obliczenie iloczynu ww. parametrów. c) zasady oceny istotności ryzyka zawiera załącznik Nr 8. 11. Terminy realizacji poszczególnych etapów planowania rocznego i analizy ryzyka oraz szczegółową ścieżkę audytu dla procesu zawiera załącznik Nr 10. 4 Załącznik Nr 1 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ARKUSZ IDENTYFIKACJI CELÓW, ZADAŃ ORAZ RYZYKA /część A/ Jednostka organizacyj na Cel działalno ści 1 2 Nr zadania/ podzada nia Zadanie/ podzadani e 3 4 Podmiot odpowie dzialny 5 Miernik/ nazwa 6 Planowana wartość do osiągnięcia na koniec roku Sposób monitorowa nia 7 8 Punktowa ocena ryzyka Zidentyfikow ane ryzyko 9 Wpływ /Skutek Prawdopodob ieństwo Istotność 10 11 12 ............................................................. data i podpis Kierownika jednostki/komórki organizacyjnej INSTRUKCJA: Sposób wypełnienia 1.Należy wpisać nazwę jednostki organizacyjnej. 2.Należy wpisać treść celu działalności (jeden podstawowy, nie więcej niż 3). 3.Należy wskazać numer zadania/podzadania, służący realizacji celu/celów. 4. Należy wpisać nazwę zadania/podzadania. 5.Należy wpisać nazwę komórki organizacyjnej, która jest odpowiedzialna za realizację zadania/podzadania oraz zarządzanie ryzykiem. 6.Należy wpisać przyjętą miarę służącą do oceny realizacji celu. 7.Należy wpisać, jaką wartość miernika zamierza się osiągnąć. 8.Należy określić sposób monitorowania np. użycie mechanizmów kontroli zarządczej 9. Należy opisać zdarzenie, które w przypadku, gdy wystąpi będzie zagrażać realizacji zadań i osiąganiu celów, zgodnie Zał. Nr 11 do niniejszych zasad. 10. Należy wpisać wpływ zidentyfikowanego ryzyka na działanie jednostki/komórki zgodnie z Zał. Nr 6 do niniejszych zasad. 11. Należy wpisać prawdopodobieństwo wystąpienia ryzyka zgodnie z Zał. Nr 7 do niniejszych zasad. 12. Należy wpisać istotność danego zdarzenia zgodnie z Zał. Nr 8 do niniejszych zasad. 5 Załącznik Nr 1 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ARKUSZ REALIZACJI CELÓW, ZADAŃ ORAZ RYZYKA /część B/ Jednostka organizacyjna 1 Cel działalnoś ci Nr zadania/ podzada nia Zadanie/ podzadanie Podmiot odpowiedzialny 2 3 4 5 Miernik/ nazwa Planowana wartość do osiągnięcia na koniec roku Osiągnięta wartość miernika na koniec roku Zidentyfikowane ryzyko, które miało wpływ na osiągnięcie wartości miernika 6 7 8 9 ............................................................. data i podpis Kierownika jednostki/komórki organizacyjnej INSTRUKCJA: Sposób wypełnienia 1.Należy wpisać nazwę jednostki organizacyjnej. 2.Należy wpisać treść celu działalności (jeden podstawowy, nie więcej niż 3). 3.Należy wskazać numer zadania/podzadania, służący realizacji celu/celów. 4. Należy wpisać nazwę zadania/podzadania. 5.Należy wpisać nazwę komórki organizacyjnej, która jest odpowiedzialna za realizację zadania/podzadania oraz zarządzanie ryzykiem. 6.Należy wpisać przyjętą miarę służącą do oceny realizacji celu. 7.Należy wpisać, jaką wartość miernika zamierza się osiągnąć. 8. Należy wpisać wartość miernika osiągnięto w trakcie realizacji zadania na koniec roku budżetowego 9. Należy wpisać ewentualne ryzyko, którego zmaterializowanie się miało negatywny wpływ na osiągnięcie założonego miernika. 6 Załącznik Nr 2 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego LISTA WSZYSTKICH ZADAŃ, CELÓW I REJESTR RYZYK Jednostka organizacy jna 1 Cel działaln ości Zadanie/po dzadanie 2 3 Podmiot odpowiedzialny 4 Opis ryzyka zidentyfikow anego przez Kierowników jednostek/ komórek organizacyjn ych Punktowa ocena ryzyka Kierowników jednostek/ komórek organizacyjnyc h 5 6 Punktowa ocena ryzyka wg Koordynatora kontroli zarządczej Wpływ Prawdopod obieństwo Istotność wg Koordynatora kontroli zarządczej 7 8 9 Uwagi Koordynatora kontroli zarządczej 10 ............................................... data i podpis Koordynatora kontroli zarządczej Zatwierdzam......................................................... Data i podpis Starosty Zgierskiego INSTRUKCJA: Sposób wypełnienia 1.Należy wpisać nazwę jednostki organizacyjnej. 2.Należy wpisać treść celu działalności (jeden podstawowy, nie więcej niż 3). 3. Należy wpisać nazwę zadania/podzadania. 4. Należy wpisać nazwę komórki organizacyjnej, która jest odpowiedzialna za realizację zadania/podzadania oraz zarządzanie ryzykiem. 5. Należy opisać zdarzenie, które w przypadku, gdy wystąpi będzie zagrażać realizacji zadań i osiąganiu celów 6. Należy wskazać punktową ocenę wyników analizy ryzyka 7. Należy wpisać wpływ zidentyfikowanego ryzyka na działanie jednostki/komórki zgodnie z Zał. Nr 6 do niniejszych zasad. 8. Należy wpisać prawdopodobieństwo wystąpienia ryzyka zgodnie z Zał. Nr 7 do niniejszych zasad. 9.Należy wpisać istotność danego zdarzenia zgodnie z Zał. Nr 8 do niniejszych zasad. 10. Miejsce na uwagi koordynatora kontroli zarządczej 7 Załącznik Nr 3 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego OCENA RYZYKA WG BIURA AUDYTU L.p. 1 Nazwa jednostki organizacyjnej 2 Zadanie/pod zadanie 3 Podmiot odpowiedzialny 4 Opis ryzyka zidentyfikowanego przez Kierowników jednostek/komórek organizacyjnych 5 Punktowa Ocena ryzyka wg audytora wewnętrznego Wpływ Prawdopod obieństwo 6 7 Istotność punktowa wg audytora wewnętrznego 8 Klasyfikacja ryzyka na potrzeby planowania reakcji na ryzyko Istotność na potrzeby prioretyzacji zadań do planu audytu 9 10 INSTRUKCJA: Sposób wypełnienia 1.Należy wpisać liczbę porządkową. 2.Należy wpisać nazwę jednostki organizacyjnej lub komórki organizacyjnej. 3.Należy wpisać treść zadania/podzadania. 4.Należy wskazać nazwę komórki organizacyjnej odpowiedzialnej za zadanie/podzadanie. 5.Należy opisać zdarzenie, które w przypadku, gdy wystąpi będzie zagrażać realizacji zadań i osiąganiu celów. 6.Należy wpisać wpływ zidentyfikowanego ryzyka na działanie jednostki/komórki zgodnie z Zał. Nr 6 do niniejszych zasad. 7.Należy wpisać prawdopodobieństwo wystąpienia ryzyka zgodnie z Zał. Nr 7 do niniejszych zasad. 8.Należy wpisać iloczyn wpływu i prawdopodobieństwa. 9.Należy wskazać klasyfikację ryzyka: Istotne, średnio istotne, nieistotne zgodnie z załącznikiem nr 8. 10.Należy określić istotność na potrzeby prioretyzacji zadań: Istotne – 1, Średnio istotne – 2, Nieistotne – 3. 8 Załącznik Nr 4 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ANALIZA RYZYKA DLA PLANU AUDYTU NA ROK..... Klasyfikacja ryzyka L.p. Zadanie/Podzadanie (Obszar ryzyka do przeprowadzenia zadania zapewniającego ) 1 2 Zbiorcza ocena ryzyka [%] WAGI Jednostka/komórka organizacyjna 3 Podmiot odpowiedzialny 4 Ryzyka do zbadania 5 20% 30% 50% Wg Kierowników KO/JO <1-3> Wg Koordynatora <1-3> Wg AW <1-3> 6 7 8 9 INSTRUKCJA: Kolumna 1. 2. 3. 4. 5. 6. 7. 8. 9. Sposób wypełnienia Należy wpisać liczbę porządkową. Należy wpisać treść zadania/podzadania. Należy wpisać nazwę jednostki organizacyjnej lub komórki organizacyjnej. Należy wpisać podmiot odpowiedzialny za realizację zadania. Należy wskazać zidentyfikowane ryzyko. Należy wskazać istotność na potrzeby prioretyzacji wg Kierowników KO/JO – <1,3> Należy wskazać istotność na potrzeby prioretyzacji Koordynatora kontroli zarządczej – <1,3> Należy wskazać istotność na potrzeby prioretyzacji wg AW – <1,3> Należy obliczyć łączną ocenę zgodnie ze wzorem: ((20%*istotność kierowników+30% * istotność Koordynatora + 50% * istotność AW))/3 9 Załącznik Nr 5 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego LISTA OBSZARÓW RYZYKA ZAPROPONOWANYCH DO OBJĘCIA PLANEM AUDYTU NA ROK Numer zadania z analizy ryzyka Zadanie/Podzadanie (Obszar ryzyka do przeprowadzenia zadania zapewniającego ) Jednostka/komórka organizacyjna Podmiot odpowiedzialny 1 2 3 4 Ryzyka do zbadania Łączna (zbiorcza) ocena ryzyka [%] 5 6 Priorytet Starosty Zgierskiego <A,B,C> Decyzja audytora wewnętrznego <TAK,NIE> 7 8 Zatwierdzam......................................................... data i podpis Starosty Zgierskiego INSTRUKCJA: Kolumna 1. 2. 3. 4. 5. 6. 7. 8. Sposób wypełnienia Należy wpisać numer zadania z analizy ryzyka. Należy wpisać treść zadania/podzadania. Należy wpisać nazwę jednostki organizacyjnej lub komórki organizacyjnej. Należy wpisać podmiot odpowiedzialny za realizację zadania. Należy wskazać zidentyfikowane ryzyko. Należy wskazać łączną ocenę obliczoną zgodnie ze wzorem: ((20%*istotność kierowników+30% * istotność Koordynatora kontroli zarządczej + 50% * istotność AW))/3 Należy wskazać priorytet zgodnie z załącznikiem Nr 9. Należy określić czy zadanie zostanie objęte planem poprzez umieszczenie adnotacji TAK, NIE. 10 Załącznik Nr 6 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ZASADY OCENY WPŁYWU RYZYKA1 Wpływ Wysoki 5 Poważny 4 Przesłanki Brak realizacji zadania i brak realizacji celu, bardzo poważne i rozległe konsekwencje prawne, naruszenie bezpieczeństwa pracowników (ujemne konsekwencje dla zdrowia i życia pracowników), wysokie straty finansowe, utrata dobrego wizerunku Powiatu. (Wysoka strata finansowa – powyżej 1% budżetu Powiatu) Poważny wpływ na realizacje zadania w tym poważne zagrożenie terminu jego realizacji, jaki i osiągniecie celu, poważne konsekwencje prawne, zagrożenie bezpieczeństwa pracowników, poważne straty finansowe, poważny wpływ na wizerunek Powiatu (Poważny skutek finansowy – od 0,5% do 1% budżetu Powiatu) Średni 3 Średni wpływ na realizację zadań i celów, umiarkowane konsekwencje prawne, średni skutek finansowy, brak wpływu na bezpieczeństwo pracowników, średni wpływ na wizerunek Powiatu. (Średni skutek finansowy – od 0,2% do 0,5% budżetu Powiatu) Mały 2 Mały wpływ na realizację celów i zadań, bez skutków prawnych, mały skutek finansowy, brak wpływu na bezpieczeństwo pracowników, niewielki wpływ na wizerunek Powiatu. (Mały skutek finansowy – od 0,1% do 0,2% budżetu Powiatu) 1 Znikomy wpływ na realizację zadań i celów, brak skutków prawnych, nieznaczny skutek finansowy, brak wpływu na bezpieczeństwo pracowników, brak wpływu na wizerunek Powiatu. (Nieznaczny skutek finansowy do 0,1 % budżetu Powiatu) Nieznaczny 1 Odpowiednik punktowy W przypadku jednostek organizacyjnych wszelkich ocen należy dokonywać w kontekście danej jednostki: np. Budżetu jednostki, wizerunku jednostki. 11 Załącznik Nr 7 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ZASADY OCENY STOPNIA PRAWDOPODOBIEŃSTWA ZMATERIALIZOWANIA SIĘ RYZYKA Prawdopodobieństwo Odpowiednik punktowy Prawie pewne 5 Oczekuje się że zdarzenie takie nastąpi (od 81 do 100%, że będzie występować regularnie, co miesiąc lub częściej), dotyczy wszystkich lub prawie wszystkich spraw. Duże 4 Zaistnienie zdarzenia jest bardzo prawdopodobne (od 61 do 80 %, że wystąp regularnie, co najmniej raz w roku), dotyczy większości spraw. Średnie 3 Zaistnienie zdarzenia jest średnio możliwe, ale w niektórych przypadkach zdarzenie takie może mieć miejsce (od 41 do 60%, ze wystąpi w przeciągu 5 lat), dotyczy niektórych spraw. Małe 2 Istnieje małe prawdopodobieństwo zaistnienia tego zdarzenia (od 21do 40%,że wystąpi raz na 5 lat), może wystąpić kilka razy w okresie 5 lat, dotyczy nielicznych spraw. 1 Zdarzenie może zaistnieć jedynie w wyjątkowych okolicznościach (od 1 do 20%, ze wystąpi raz na 10 lat), a najprawdopodobniej w ogóle nie wystąpi, nie wystąpiło dotychczas, dotyczy jednostkowych spraw. Bardzo rzadkie Przesłanki 12 Załącznik Nr 8 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ZASADY OCENY ISTOTNOŚCI RYZYKA Istotność Istotne Średnio istotne Nieistotne Skala punktowa (skutek x prawdopodobieństwo) 15-25 6-12 1-5 Charakter ryzyka Ryzyko mające istotny wpływ na działalność jednostki: Wysoki wpływ ryzyka, ryzyko prawie pewne lub możliwe Średni wpływ ryzyka, ryzyko prawie pewne. Ryzyko mające umiarkowany wpływ na działalność jednostki: Wysoki wpływ ryzyka, ryzyko incydentalne Średni wpływ ryzyka, ryzyko możliwe lub incydentalne, Niski wpływ ryzyka, ryzyko prawie pewne. Ryzyko mające nieznaczny wpływ na działalność jednostki: Niski wpływ ryzyka, ryzyko możliwe lub incydentalne. Rodzaj zagrożenia Zagrożenie nieakceptowane Zagrożenie akceptowalne Zagrożenie akceptowalne Reakcja na ryzyko W przypadku niemożności odstąpienia od realizacji bezzwłocznie zaplanować i zrealizować odpowiedź na ryzyko. Zaplanować odpowiedź na ryzyko, zaplanowane działania zapobiegawcze zrealizować w momencie przystąpienia do realizacji określonych działań operacyjnych. Monitorować ryzyko, zaplanować i zrealizować odpowiedź na ryzyko w przypadku zaistnienia symptomów wystąpienia określonego ryzyka. 13 Załącznik Nr 9 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego PRIORYTETY STAROSTY ZGIERSKIEGO Priorytet Opis A Priorytetem „A” Starosta oznacza zadania, które biorąc pod uwagę związane z nimi ryzyka powinny zostać zrealizowane w pierwszej kolejności. Brak realizacji przedmiotowych zadań może skutkować materializacją zdarzeń w sposób znaczący mogących wpłynąć na prawidłowe funkcjonowanie jednostki. B Priorytetem „B” Starosta oznacza zadania, które biorąc pod uwagę związane z nim ryzyka, powinny zostać zrealizowane w krótkiej perspektywie czasu, jednak brak realizacji danych zadań nie wpłynie w sposób znaczący na funkcjonowanie jednostki. C Priorytetem „C” Starosta oznacza zadania, które biorąc pod uwagę związane z nim ryzyka, mogą zostać zrealizowane w celu usprawnienia funkcjonowania jednostki jednak brak ich realizacji nie wpłynie na prawidłowe działanie jednostki. 14 Załącznik Nr 10 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego ZASADY OPRACOWANIA PLANU AUDYTU OPARTEGO NA ANALIZIE RYZYKA L.p. Stanowisko odpowiedzialne za działania Czynność Osoba weryfikująca 1. Koordynator kontroli zarządczej Zobowiązanie Kierowników jednostek, Kierowników komórek organizacyjnych, Samodzielnych stanowisk pracy do opracowania zadań i celów oraz przeprowadzania analizy ryzyka Utworzenie listy zadań, celów w zarządzanej jednostce, komórce oraz udokumentowanie listy zadań, celów zgodnie ze wzorem zamieszczonym w załączniku Nr 1 Część A Starosta Zgierski 2A Kierownicy jednostek organizacyjnych Powiatu, Kierownicy komórek organizacyjnych, samodzielne Termin Do 15 października Koordynator kontroli zarządczej Do 31 października Dokument źródłowy Zarządzenie w sprawie prowadzenia kontroli zarządczej Produkt Miejsce docelowe Informacja Jednostki organizacyjne Powiatu, komórki organizacyjne Starostwa Lista zadań, celów Biuro Audytu wewnętrznego i Kontroli /Jednostki/ komórki organizacyjne Informacja 15 Załącznik Nr 10 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.p. Stanowisko odpowiedzialne za działania Czynność 2B stanowiska pracy Udokumentowanie procesu identyfikacji i oceny ryzyka w komórce organizacyjnej oraz przeprowadzenie analizy zidentyfikowanego ryzyka zgodnie ze wzorem stanowiącym załącznik Nr 1 Część A Osoba weryfikująca Termin Dokument źródłowy j.w. j.w. j.w. 2C Przekazanie wypełnionych arkuszy – Załącznik Nr 1 Część A 3A Biuro Audytu wewnętrznego i Kontroli Przygotowanie zbiorczego zestawienia zadań, celów i ryzyka Audytor wewnętrzny Audytor wewnętrzny Do 5 listopada Do 10 listopada 3B Przekazanie zbiorczego zestawienia Koordynatorowi kontroli zarządczej Koordynator kontroli zarządczej Niezwłocznie Lista zadań, celów wraz z identyfikacją i oceną ryzyka /wersja papierowa i elektroniczna/ Lista zadań, celów wraz z identyfikacją i oceną ryzyka Zbiorcze zestawienie celów, zadań, ryzyka – Załącznik Nr 2 poz. 1-6 Produkt Miejsce docelowe Lista zadań, celów wraz z identyfikacją i oceną ryzyka Biuro Audytu wewnętrznego i Kontroli /Jednostki/ komórki organizacyjne Potwierdzenie przekazania Biuro Audytu wewnętrznego i Kontroli Wykaz celów, wszystkich zadań/podzadań, oraz ryzyk Powiatu Zgierskiego na rok – Załącznik Nr 2 poz.16 Biuro Audytu wewnętrznego i Kontroli Zatwierdzony dokument Koordynator kontroli zarządczej 16 Załącznik Nr 10 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.p. Stanowisko odpowiedzialne za działania Czynność Osoba weryfikująca Termin 4A Dokonanie weryfikacji zadań, celów, ryzyka 4B Koordynator kontroli zarządczej 4C 5A. Biuro Audytu wewnętrznego i Kontroli 5B. Audytor wewnętrzny 5C 6 Audytor wewnętrzny Starosta Zgierski Przekazanie wypełnionego Załącznika Nr 2 poz. 1-10 do zatwierdzenia Staroście Przekazanie wypełnionego Załącznika Nr 2 pozycje 1-10 do wiadomości BA Dokonanie oceny ryzyka Załącznik Nr 3 Przeprowadzanie analizy ryzyka Przekazanie listy obszarów ryzyka zaproponowanych do objęcia planem audytu w kolejnym roku Nadanie priorytetów Dokument źródłowy Produkt Miejsce docelowe Wypełniony Załącznik Nr 2 pozycje 1- 10 Koordynator kontroli zarządczej Starosta Do 20 listopada Zbiorcze zestawienie celów, zadań, ryzyka – Załącznik Nr 2 poz. 1-6 Starosta Niezwłocznie Wypełniony Załącznik Nr 2 (poz. 1-10) Potwierdzenie przekazania Koordynator kontroli zarządczej Audytor wewnętrzny Do 25 listopada Wypełniony Załącznik Nr 2 (poz. 1-10) Potwierdzenie przekazania Biuro Audytu wewnętrznego i Kontroli Audytor wewnętrzny Do 1 grudnia Wypełniony Załącznik Nr 2 (poz. 1-10) Załącznik Nr 3 Audytor wewnętrzny Niezwłocznie Wypełniony Załącznik Nr 3 Niezwłocznie Udokumentowana analiza ryzyka– Załącznik Nr 4 Do 7 grudnia Lista obszarów ryzyka zaproponowanych do objęcia planem Starosta Zgierski Brak Udokumentowana analiza ryzyka– Załącznik Nr 4 Lista obszarów ryzyka zaplanowanych do przeprowadzenia zadań zapewniających - Załącznik Nr 5 poz. 1-6 Wypełniony Zał. Nr 5 (poz. 1-7) Biuro Audytu wewnętrznego i Kontroli Biuro Audytu wewnętrznego i Kontroli Biuro Audytu wewnętrznego i Kontroli Biuro Audytu wewnętrznego i Kontroli 17 Załącznik Nr 10 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.p. Stanowisko odpowiedzialne za działania Czynność Osoba weryfikująca Termin Dokument źródłowy Produkt Miejsce docelowe Biuro Audytu wewnętrznego i Kontroli audytu w kolejnym roku budżetowym 7. Audytor wewnętrzny 8 Audytor wewnętrzny 9. Starosta 10 Kierownicy jednostek organizacyjnych Powiatu, Kierownicy komórek organizacyjnych, samodzielne stanowiska pracy Podjęcie decyzji o zadaniach zaplanowanych do realizacji na następny rok budżetowy Sporządzenie rocznego planu audytu opartego na analizie ryzyka Wydanie zarządzenia w sprawie wprowadzenia planu audytu Utworzenie listy zrealizowanych zadań w roku poprzednim w zarządzanej jednostce, komórce oraz udokumentowanie listy celów i zadań, zgodnie ze wzorem zamieszczonym w załączniku Nr 1 Część B Audytor wewnętrzny Do 10 grudnia Wypełniony Zał. Nr 5 (poz. 1-7) Załącznik Nr 5(poz. 18) Brak/ Audytor wewnętrzny Do 20 grudnia Załącznik Nr 5(poz. 1-8) Roczny plan audytu Brak Do 31 grudnia Roczny plan audytu Zarządzenie Koordynator kontroli zarządczej Do 31 marca Informacja Lista zadań, celów Biuro Audytu wewnętrznego i Kontroli Biuro Audytu wewnętrznego i Kontroli Biuro Audytu wewnętrznego i Kontroli /Jednostki/ komórki organizacyjne 18 Załącznik Nr 11 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego PRZYKŁADOWY KATALOG RYZYK L.P. 1. RYZYKO Wykorzystanie środków niezgodnie z przeznaczeniem lub niezgodnie z obowiązującymi procedurami. 2. Nienależne pobranie środków. 3. Pobranie środków w nadmiernej wysokości. 4. Przyznanie środków bez zachowania lub z naruszeniem procedur. 5. Przekazanie środków bez zachowania lub z naruszeniem procedur. 6. Nie dochodzenie nienależnie pobranych środków. 7. Prowadzenie ksiąg rachunkowych niezgodnie z zasadami określonymi w ustawie o rachunkowości. 8. Wskazanie nierzetelnych danych w sprawozdaniach finansowych. 9. Niezachowanie terminów sporządzania sprawozdań finansowych. 10. Niezachowanie terminów sporządzania sprawozdań budżetowych. 11. Wskazanie nierzetelnych danych w sprawozdaniach budżetowych. 12. Niezachowanie zasad inwentaryzacji składników majątku. 13. Niezachowanie terminów inwentaryzacji składników majątku. 14. Nieudokumentowanie przeprowadzonej inwentaryzacji. 15. Nieterminowość realizacji zamówień publicznych przez wykonawców. 16. Niedostateczne rozeznanie rynku przy udzielaniu zamówień publicznych do 14 tys. euro. 17. Dobór nieodpowiednich kryteriów oceny ofert. 18. Przekroczenie upoważnienia do dokonywania wydatków. 19. Przekroczenie upoważnienia do zaciągania zobowiązań. 20. Nieprawidłowości w opłacaniu składek. 21. Nieuprawniony dostęp do informacji poufnych. 22. Włamanie do systemu informatycznego. 23. Konieczność wypłaty odszkodowań. 24. Konieczność zapłaty kar umownych. 25. Błędne rozstrzygnięcia administracyjne. 26. Nadmierny czas od wniosku do dostarczenia produktu –nieterminowość. 19 Załącznik Nr 11 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.P. RYZYKO 27. Naruszenie procesu legislacji, usterki prawne, proceduralne. 28. Brak integralności danych w systemach informatycznych. 29. Zwłoka, opóźnienia działania, przekroczenie terminów. 30. Brak wyegzekwowania opłat, utrata środków. 31. Błędy w rozstrzygnięciach, decyzje wadliwe. 32. Błędy formalno – rachunkowe (np. błędna klasyfikacja budżetowa). 33. Niezgodność sprawozdania z księgami rachunkowymi. 34. Sprawozdanie nierzetelnie lub niejasno przedstawia sytuację majątkową i finansową jednostki. 35. Niezgodność ewidencji z ustawą o rachunkowości. 36. Błędy i niekompletność danych. 37. Nieaktualne dane w bazach danych. 38. Brak określonej odpowiedzialności. 39. Niewystarczające kompetencje zawodowe. 40. Niewystarczające zabezpieczenia, kary. 41. Niedotrzymanie warunków umowy. 42. Zbyt niskie uczestnictwo, frekwencja. 43. Utrata zaufania. 44. Awaria teletransmisji danych. 45. Niewystarczające zabezpieczenia, kary. 46. Utrata wizerunku. 47. Ryzyko pożaru. 48. Ryzyko wypadku. 49. Ryzyko utraty życia. 50. Nieprecyzyjne określenie obowiązków. 51. Zapłaty odsetek karnych. 52. Zapłaty grzywny. 53. Nieodpowiednia struktura organizacyjna. 54. Awaria systemu. 55. Nieuprawniona zmiana danych. 20 Załącznik Nr 11 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.P. RYZYKO 56. Indolencja (nieprzestrzeganie procedur). 57. Przedawnienie należności. 58. Rosnący poziom nie wyegzekwowanych należności. 59. Błędy w systemach informatycznych. 60. Nie obsadzone stanowiska. 61. Rotacja pracowników. 62. Rosnący poziom skarg i działań dyscyplinarnych. 63. Marnotrawstwo. 64. Oszustwo. 65. Łapownictwo. 66. Brak planowania działań. 67. Rosnąca liczba pozwów sądowych. 68. Zachwianie płynności finansowej. 69. Rosnące, w tym nieplanowane zadłużenie. 69. Zmniejszone wpływy z tytułu podatków dochodowych. 70. Zmniejszone wpływy z tytułu podatków i opłat lokalnych. 71. Niedostateczny budżet na realizację zadań. 72. Nieznajomość przez pracowników uregulowań prawnych koniecznych do realizacji zadań. 73. Zagrożenia fizyczne – kradzież, powódź, zalanie. 74. Katastrofy budowlane. 75. Utrata danych. 76. Występowanie różnic inwetaryzacyjnych. 77. Niewłaściwe zabezpieczenie zasobów informatycznych. 78. Narażenie systemu na awarie, wirusy. 79. Nieterminowe świadczenie usług na rzecz urzędu– remonty, naprawy, konserwacje. 80. Niski poziom świadczonych usług na rzecz Starostwa. 81. Niewłaściwy przepływ informacji wewnętrznych i zewnętrznych. 82. Zaciąganie zobowiązań wobec dostawców, kontrahentów bez zabezpieczonych środków. 83. Przekroczenie planu finansowego. 21 Załącznik Nr 11 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.P. RYZYKO 84. Fluktuacja kadr. 85. Brak aktualizowanej, zapisanej polityki, zasad, kryteriów. 86. Opóźnienia w aktualizacji bazy. 87. Świadczenie przydzielone z naruszeniem zasad i kryteriów. 88. Nietrafne kryteria merytoryczne naboru pracownika. 89. Brak wpływu bezpośredniego przełożonego na wybór. 90. Brak motywacji do osiągania celów. 91. Brak właściwie dobranych szkoleń. 92. Brak motywacji do zdobywania potrzebnych umiejętności. 93. Nieprawidłowości w naliczaniu świadczeń. 94. Nieterminowe wypłaty. 95. Dublowanie pracy. 96. Brak wyczerpującej informacji dla klienta 97. Nieautoryzowany przelew środków pieniężnych. 98. Niezgodność wypłat z zawartymi umowami. 99. Nieprawidłowe naliczenie składek ZUS 100. Nieprawidłowe naliczenie zaliczek na podatek dochodowy 101. Nieterminowa wypłata wynagrodzeń 102. 103. Nieujawnieni elementów wyposażenia o wartości nie wymagającej zawarcia umowy w księgach inwentarzowych. Niezgodność wysokości kwot przelewów z kwotami wynikającymi z umów lub dokumentów będących podstawą zapłaty. 104. Nieterminowość dokonania przelewów na rzecz dostawców towarów i usług. 105. Nieautoryzowana wypłata gotówki 106. Włamania do systemów. 107. Niedopasowanie systemów do bazy sprzętowej. 108. Zatrzymanie pracy systemów informatycznych. 109. Brak przepływu informacji o błędach w systemach informatycznych. 110. Wykorzystywanie nielegalnego oprogramowania. 111. Nieuprawnione wdrożenie zmian w oprogramowaniu i bazach danych. 22 Załącznik Nr 11 do zasad zarządzania ryzykiem w Starostwie Powiatowym w Zgierzu i pozostałych jednostkach organizacyjnych Powiatu Zgierskiego L.P. RYZYKO 112. Wysoki stopień skomplikowania działalności. 113. Nieadekwatność informacji na podstawie, których podejmuje się decyzje. 114. Utrata informacji. 115. Niedawne zmiany kluczowych pracowników. 116. Naruszenie poufności informacji. 117. Znaczny wzrost zadań jednostki. 118. Wdrażanie nowych technologii. 119. Niewłaściwe planowanie projektu. 120. Niepowodzenie projektu. 121. Wdrażanie nie sprawdzanych rozwiązań. 122. Zakłócenia w dostawach energii. 123. Przerwy w łączności telefonicznej. 124. Przerwy w dostępie do Internetu. 125. Przerwy w dostępie do poczty elektronicznej. 126. Zmiany stóp procentowych. 127. Zmiany kursów walut. 128. Inflacja. 129. Dług publiczny. 130. Zmiany polityczne na stanowiskach strategicznych. 131. Nowe przepisy prawa. 132. Zmiana przepisów. 133. Brak regulacji prawnej w danym zakresie. 134. Skomplikowane bądź niejasne przepisy. 135. Naciski grup interesu. 136. Presja polityczna. 137. Niestabilni dostawcy. 138. Monopolistyczna pozycja dostawców. 139. Zmiany wysokości dochodów. 23